31 mar. 2009

Detectando Conficker en una red

Conficker es el software malicioso que ha ocupado la atención de los medios los últimos meses, incluido este blog (ver toda la información sobre Conficker). Los consejos para prevenir una infección de Conficker ya han sido publicados reiteradas veces. Sin embargo, un inconveniente frecuente en las redes corporativas es cuando el gusano ya ha infectado, y ya está instalado en la organización. ¿cómo protegerse?

La principal preocupación cuando el gusano ya ha infectado equipos, es cómo detectar cuáles equipos están infectados. Aunque mantener todos los equipos con las actualizaciones a la fecha, y protegidos por un antivirus que neutralice la amenaza, sería la principal protección; la realidad indica que muchas organizaciones poseen estructuras poco organizadas donde no hay configuraciones homogéneas de seguridad en los diferentes equipos de la red.

Para tal fin, fue desarrollada una herramienta, como iniciativa de The HoneyNet Project, que permite detectar qué equipos de la red están infectados. La misma escanea un segmento de red y verifica qué equipos probablemente estén infectados con Conficker. La herramienta puede descargarse aquí, es un script hecho en Phyton (ejecutable aquí)que puede ejecutarse muy fácilmente indicando como parámetros las direcciones IP para chequear.

Asimismo, Nessus, una de las aplicaciones de escaneo de vulnerabilidades más popular, ya cuenta con un plugin (#36036) que está basado en dicha herramienta. Por lo tanto, ya pueden integrarse las funcionalidades de Nessus para detectar la infección.

Teniendo en cuenta que en muchas de sus variantes el gusano se propaga por el resto de los equipos de la red, identificar los equipos ya infectados y desconectarlos de la red es un buen primer paso para iniciar la limpieza.

Una vez identificados los equipos y desinfectados, recuerden las medidas que ya hemos recordado para prevenir una nueva infección:
  • Actualice su sistema operativo
  • Active un Firewall (de perímetro o personal)
  • Utilice un Antivirus
  • No utilice su sistema con permisos administrativos
Fuentes:
Doxpara - Anuncio
Universidad de Bonn - informe completo
Nessus Blog
Nessus Plugin

Sebastián de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!